企业信息安全管理制度
XXXX有限公司(筹) 信息安全管理办法(试行)
第一章 总则
第一条 为完善公司信息化管理工作,确保公司信息安全,提高信息化管理工作的现代化水平,特制订本办法。
第二条 本办法适用于公司全部计算机和信息系统安全管理工作。
第二章 信息安全管理
第三条 设备安全管理
1.设备安全管理是指对支撑公司信息系统正常运作的基础硬件设备进行的安全管理工作。基础硬件设备包括:服务器、交换机、路由器、磁盘阵列、UPS电源和综合布线等。
2.公司信息系统中使用的基础硬件设备均须符合相关的行业标准并具备完整的技术文档(说明书、合格证、保修卡等)。
3.设备的操作使用按照设备的使用说明书和相关操作规程进行,禁止非法操作。 4.信息系统中的关键设备须配置备机备件,保障信息系统运行的连续性。 第四条 网络安全管理
1.网络安全是指保护网络系统中的软件、硬件及信息资源,使之免受偶然或恶意的破坏篡改和泄露,保证网络系统的正常运行、网络服务不中断。保护信息在传输、交换和存储过程中的保密性、完整性、可用性和真实性。
2.网络安全管理须建立健全网络安全体系,统一制定公司的网络安全策略和技术方案,网络安全策
页脚内容1
企业信息安全管理制度
略遵循技术保护和管理保护相结合的原则。
3.网络系统的规划建设均须符合国家、行业相关标准的安全要求,达到规定的安全等级。 4.网络系统管理要采用统一的配置策略和安全策略。 5.网络系统管理要建立完整的网络技术文档。
6.关键网络设备须开启日志记录和审计功能,达到防抵赖、防篡改和防窃取的目的。 7.变更、升级网络系统时,要对变更、升级项目进行评估,保障网络系统的安全策略不受影响。 8.所有可配置的网络设备按最小安全访问原则设置访问控制权限,关闭不必要的端口及服务,避免各类安全隐患。
9.接入外部网络要安装硬件防火墙、安全网关或其它安全设备,对非法数据流进行限制,避免遭受病毒和外部攻击。
10.定期对防火墙、安全网关、路由器等网络安全设备的安全配置、过滤规则进行梳理,修正不当配置。对服务器上的应用进行排查,关闭与业务无关的服务。定期检查防火墙、安全网关、路由器等网络安全设备的安全策略,并根据有关部门发布的信息安全警报及时完善、更新安全策略。
11.禁止未经授权的计算机进入内部网络、发布不真实的信息、有意散布计算机病毒、不以真实身份使用网络资源等非法行为。
第五条 机房安全管理
1.机房安全管理是指保障机房的规划设计、建设和管理达到国家、行业相关安全要求的管理工作。 2.机房安全管理要遵循规范化、实用性、责任制、集中统一管理的原则。
3.对不能停机的机房必须采取双回路供电,或者配置持续工作半小时以上UPS设备。 4.禁止在机房内吸烟、进食、嬉戏等,进出机房随手关门。
5.机房管理人员每日定时对机房的供电、空调、网络和其它重要设备进行巡检,并填写《机房巡检
页脚内容2
企业信息安全管理制度
日志》。
6.严禁易燃、易爆、腐蚀性、强电磁、辐射性、流体物质及其它与机房工作无关的物品进入机房。禁止在机房内堆放与信息系统运行无关的物品。
7.服务器、交换机、路由器和磁盘阵列等核心设备应放置在机房内集中管理,外来设备进入机房须履行登记审批手续,不得自行配置或更换。
第六条 数据安全管理
1.公司信息管理部和系统外包开发商在进行系统开发时,开发环境应当和生产环境严格分离,软件开发人员只能在开发环境系统上工作。
2.对于外来存储介质、电子数据文件必须进行病毒检查,确认没有病毒后,才能在公司服务器上使用,以防止病毒对公司信息系统和业务数据的破坏。
3.软件开发人员、系统管理员等与公司计算机系统有关的工作人员调离公司时,必须移交全部技术开发手册、源代码及相关技术资料。
4.未经公司批准,任何人不得自行从公司信息系统中下载数据提供给外部机构或个人。 第七条 信息系统密码安全管理
1.信息系统用户均应设置密码,以防止他人越权操作。由于泄露密码或密码保管不当而对公司造成损失的,公司将追究有关当事人责任。
2.未经授权,不得使用他人账号和密码进入公司信息系统进行操作。擅自使用他人密码操作的,不管是否造成不良后果,一经查实公司均将严肃处理。
3.公司应该严格管理服务器的密码,并且至少每半年更换一次。
XXXX有限公司(筹)
2015年4月
页脚内容3
公司信息安全管理办法
